Avviksbehandling
Beskrivelse
Det var ikke registrert midlertidig avvik fra krav i helse-, miljø- og sikkerhetslovgivningen med hensyn til manglende passiv brannbeskyttelse. Korrigerende tiltak var ikke fulgt opp.
Begrunnelse
Det var ikke etablert internt avvik (DISP) for manglende passiv brannbeskyttelse på rør og utstyr på import- og eksportledningene P10, P11, Zeepipe IIA og IIB. Dette er et avvik fra krav i TR0505 «Design accidental load specification».
Vi ble i oppstartsmøtet for tilsynet informert om at det ikke er etablert kompenserende tiltak (basert på lav brannfrekvens). Det er planlagt å installere permanent beskyttelse i løpet av 2025. Vi ble senere informert om at det i etterkant av oppstartsmøtet var blitt laget en aksjon i Thelma-case om utarbeidelse av DISP.
Hjemmel
Trening og øvelser
Beskrivelse
Det var mangler ved system for å sikre trening og øvelser på operasjonelle forstyrrelser og fare- og ulykkessituasjoner.
Begrunnelse
I addendumet til TR2237 er operasjonelle barriererelementer (OBE) beskrevet for den enkelte ytelsesstandard. Det er etablert et treningsprogram for dette.
Gjennom samtaler ble det avdekket at handlingsmønsteret ved gjennomføring av enkelte OBE-er var uklart for de involverte. De mottatte treningspakkene for OBE-er viser at enkelte definerte OBE-er ikke inngår i treningen, eksempelvis H/HH-alarm i høytrykks fakkeldunk.
Operasjonelle barrierer for å hindre overfylling av væskeutskiller oppstrøms turboekspander og duggpunktskontrollseparator, som beskrevet i prosessikkerhetsrapport for systemet (SAT-tabeller), er ikke inkludert som OBE-er i ytelsesstandarden og heller ikke inkludert i treningsprogram.
Det ble også avdekket manglende samsvar mellom filosofi for utløsning av deluge ved bekreftet gasslekkasje som er etablert i styrende dokumentasjon og praksis for gjennomføring/trening (se avvik 5.1.5)
Hjemmel
Etablering og oppfølging av ytelseskrav
Beskrivelse
Det var mangler knyttet til etablering av ytelseskrav, kjennskap til ytelseskrav samt oppfølging av midlertidige barrierefunksjoner slik at sviktmodi som er under utvikling eller har inntrådt blir identifisert og korrigert.
Begrunnelse
Overtrykkssikring
- Prosessikring skal utformes med to uavhengige sikringsnivåer for beskyttelse av utstyr. Krav til responstid på primærbarrieren må defineres for å sikre at dette er et uavhengig nivå. I intervjuene og i gjennomgang i system for vedlikeholdsstyring så vi at krav til responstid for PSD-ventiler / ventiler med PSD-funksjoner er basert på generiske verdier (2 sekunder per tomme). Det er ikke gjennomført eller dokumentert systemspesifikke evalueringer av om disse kravene er tilstrekkelig for å ivareta funksjonen.
- Det er etablert en dispensasjon knyttet til manglende primærbeskyttelse mot overtrykk på offspec/kondensat-tank. Som et kompenserende tiltak vil eksisterende trykktransmitter for kontroll også ivareta PAS-nedstengning. En gjennomgang i system for vedlikeholdsstyring viste at denne transmitteren ikke er definert som en sikkerhetskritisk funksjon og har dermed heller ikke et testprogram tilsvarende PAS-transmittere. Den midlertidige løsningen har vært i drift siden 2018.
- I SAT-tabell for rekompresjonssystemet er det angitt et mulig overtrykksscenario på rekompressor-utløp som en konsekvens av utjevningstrykk ved tripp av rørledningskompressor. I dette tilfellet er kun tilbakeslagsventil oppgitt som sekundærbeskyttelse.
Brannvannssystemet
I jobbeskrivelse for utførelse av forebyggende vedlikehold av brannvannsystemene observerte vi følgende:
- I TR2237 er det krav om at responstid skal være maksimum 30 sekunder. I tillegg står det i systembeskrivelsen for system 71 at alle brannvannssystemene skal være i stand til å levere full vannmengde innen 30 sek. For å få testet reell responstid må en måle tid fra signal gis om brannpumpestart til fullt trykk på fjerneste dyse. Det manglet ytelseskrav til responstid for vann i fjerneste dyse i testprosedyre (12M og 48M forebyggende vedlikehold).
- I FV 12 mnd for deluge er det angitt at ytelseskrav for trykk til delugeskap finnes i hydraulisk rapport - denne er som tidligere nevnt ikke oppdatert. Det er videre ikke angitt i FV at det skal måles flow ut av delugeskid.
Det var manglende samsvar mellom oppgitte ytelseskrav for brannvannmengder på KAP (Kritisk aksjonspanel) i kontrollrom, i systembeskrivelsen for system 71 og i de hydrauliske beregningene (ref. avvik 5.1.5). Det er derfor uklart hva faktisk ytelseskravet (vannbehovet) er i de ulike brannområdene.
Hjemmel
Mangelfull dokumentasjon
Beskrivelse
Enkelte tekniske driftsdokumenter var mangelfulle, forelå ikke i oppdatert versjon og det var manglende samsvar mellom ulike driftsdokumenter.
Begrunnelse
Basert på mottatt dokumentasjon og informasjon i presentasjoner så vi følgende:
Overtrykkssikring
I forbindelse med dokumentgjennomgangen, fikk vi tilsendt SAT-tabeller for duggpunktstogene. Disse var mangelfulle og forelå ikke i oppdatert versjon. Følgende ble avdekket:
- HIPPS er oppgitt som primærbarriere mot overtrykk sammen med PSD, mens PSV’er er oppgitt som sekundærbeskyttelse. Basert på informasjon fra P&ID og systembeskrivelser er HIPPS installert som sekundærbarriere og PSV-ene er kun dimensjonert for brann. MEG som potensiell overtrykkskilde er ikke beskrevet.
- Uoverensstemmelse ved tagnummer sammenlignet med P&ID.
- Manuell nødavstengning som følger av høy-alarm fra transmittere i prosesskontrollsystemet er oppført som sekundærbarriere mot overfylling av væskeutskiller oppstrøms turboekspander og for duggpunktskontrollseparator. Denne handlingen er ikke definert som et OBE.
- I tabellen for rekompressorene er overtrykk forårsaket av utjevningstrykket som etableres hvis rørledningskompressoren tripper definert som et mulig scenario. Her oppføres tilbakeslagsventil som sekundærbarriere (se også avvik 5.1.3).
Vi er informert om at det er påbegynt et arbeid knyttet til oppdatering/utvikling av en prosessikringsrapport.
Filosofi for trykkavlastning
Det er i addendum til TR2237 oppgitt at det ikke er noen tilleggskrav knyttet til PS8 sammenlignet med TR2237. Det er manglende samsvar mellom TR2237 og addendumet til TR2237 knyttet til filosofi for tid for gjennomført trykkavlastning. Se også forbedringspunkt 5.2.1.
Brannvann
Vi observerte manglende samsvar i tekniske driftsdokumenter og oppgitte verdier i kontrollrommet tilknyttet brannvannsystemet:
- Det var oppgitt ulikt vannbehov for de ulike områdene på KAP i kontrollrom, i systembeskrivelsen for system 71 og i de hydrauliske beregningene. Eksempelvis for område A44 var vannbehovet:
- på KAP i kontrollrom 2876m3/h
- i systembeskrivelsen 3486 m3/h
- i hydrauliske beregninger 3317,45 m3/h
Det er uklart for oss hva som var faktisk vannbehov i de ulike brannområdene.
- I lokalt tillegg til TR2237 står det at deluge skal kun løses ut i ett område av gangen. I beredskapsanalysen står det at en skal vurdere utløsning i tilstøtende områder. Vi er informert om at en i kontrollrommet kan løse ut deluge i flere områder av gangen, men at en må holde seg under det som er kapasiteten til pumpene. Det er derfor viktig at informasjon i kontrollrom om vannbehovene er korrekte.
Hjemmel
Mangler ved passiv brannbeskyttelse
Beskrivelse
Det var mangler ved passiv brannbeskyttelse slik at barrieren ikke til enhver tid kan redusere muligheten for at feil-, fare- og ulykkessituasjoner oppstår og utvikler seg.
Begrunnelse
Under befaring observerte vi:
- Ekstern branndør til substasjon var ikke selvlukkende, dørpumpa var defekt og frakoblet
- En svekket og delvis åpen brannkasse oppe i området for import/eksport (ved 20-EBV-5002)
- Brannisolasjon var fjernet på flens i området for import/eksport
- Flere ESD-ventiler hadde passiv brannbeskyttelse på hydraulikklinjene, men manglet isolasjon på selve aktuatoren. I TR0505 «Design accidental load specification», tabell 4.3, er det definert at ESD-ventiler, trykkavlastningsventiler, med flere, skal ha passiv brannbeskyttelse på aktuatorer.
Hjemmel
Dempe eksplosjonstrykk
Beskrivelse
Interne krav som konkretiserer krav i regelverket relatert til å dempe eksplosjonstrykk ved aktivering av brannvann var etablert, men design og praksis på Kollsnes var ikke i henhold til krav.
Begrunnelse
I styrende dokumentasjon gjeldende for Kollsnes, eksempelvis i addendumet til TR2237 for Kollsnes og beredskapsplanen for Kollsnes, står det at brannvann skal utløses i det aktuelle området ved en bekreftet hendelse, inkludert gasslekkasje.
Det er et krav i TR2237 om at brannpumpe skal starte ved gassdeteksjon dersom brannvann benyttes for eksplosjonsdemping. For å dempe eksplosjonstrykk er det viktig at deluge utløses før gasskyen antennes. Det er derfor viktig med tidlig start av brannpumpe og rask utløsing av deluge. På Kollsnes startes ikke brannpumpe på gassdeteksjon.
Det er et operasjonelt ytelseskrav (OBE) at ved bekreftet gass skal kontrollromsoperatør vurdere å utløse brannvann avhengig av situasjon og størrelse på lekkasjen. Det var sammenfallende informasjon fra intervjuer om at praksis var i henhold til ytelseskravet i OBE.
Vi ser at det ikke er samsvar mellom filosofien med å bruke brannvann som eksplosjonsdempende tiltak og hvordan utløsing av deluge reflekteres i operasjonelt ytelseskrav, samt hvordan det praktiseres.
Hjemmel
Tiltak ved brannpumper ute av drift
Beskrivelse
Det var ikke på forhånd fastsatt hvilke tiltak og begrensninger som er nødvendige for å opprettholde brannpumpene sin barrierefunksjon ved utkopling eller annen svekkelse.
Begrunnelse
Tiltak ved brannpumper ute av drift var ikke forhåndsdefinert for ulike scenarier som kan oppstå på Kollsnes.
Hjemmel
Vedlikehold
Beskrivelse
Det var ikke sikret at alle deler av anlegget holdes vedlike, slik at de krevde funksjonene ivaretas i alle faser av levetiden. Det var manglende synliggjøring av barriereelementer som kan være ute av funksjon eller er svekket.
Begrunnelse
I vedlikeholdssystemet observerte vi:
- Ventiler som åpner for sjøvann inn til ferskvannsbassenget var klassifisert som «Høy» på sikkerhet, men hadde ikke SCE-knytning (barriereknytning). Manglende barriereknytning i vedlikeholdssystemet medfører at feil på disse ventilene ikke blir synlig i oversikt over svekkede barriereelementer (SCE-rapport). Ventilene må fungere for å ha brannvann utover kapasiteten til ferskvannsbassenget som er 12 timer.
- Det var beskrevet ulike forkantsaktiviteter før utførelse av selve funksjonstesten som kan påvirke resultatet av test, og medføre at test ikke blir reell. Eksempelvis var det for funksjonstest av sluseventiler (for både ferskvann- og sjøvannsinntak) tilknyttet brannvannsystemet beskrevet at ventilene skal smøres før utførelse av test.
Hjemmel